Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden

¿Qué servicios y cookies en sitios web son técnicamente necesarios y, por lo tanto, no requieren consentimiento?

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Introducción@@Einleitung

En Artículo 6 RGPD se mencionan las bases legales por las que está permitida la tratamiento de datos. Para sitios web existen en esencia dos razones por las cuales está permitido el tratamiento de datos.

El primer motivo es una Consent voluntariamente otorgada por el visitante de la página web. Esta se conoce también como Consent y puede ser retirado por el que lo otorgó en cualquier momento.

El segundo motivo es el interés legítimo del propietario de la página web.

Debido a que las consentimientos tienen requisitos formales importantes y se busca evitar la solicitud de consentimiento, muchos intentan utilizar el interés legítimo como justificación. Esta también se utiliza como excusa cuando no se les ocurre nada más, por ejemplo, al responder a una solicitud de un afectado o en un litigio.

¿Para qué se necesita realmente un consentimiento?

Cookies

La situación es bastante clara cuando en una página web se utilizan cookies que no son técnicamente necesarias. A esto pertenecen todas las cookies que no son absolutamente necesarias. Como necesarias pueden considerarse, por ejemplo, las cookies para la gestión de sesión o para la liquidación con VG Wort para el cálculo de una tarifa legalmente establecida para los autores.

Todo lo que sirve para rastrear a los usuarios, es decir, para contarlos, debe ser revisado críticamente en primer lugar y, en mi opinión, no es garantizado necesario si la duración de vida del cookie supera las 24 horas.

La base legal para la necesidad de una autorización al uso de cookies está regulada en Artículo 5, apartado 3 de la Directiva ePrivacidad o recientemente en el § 25 del TTDSG. El TTDSG establece que los cookies para seguir a los usuarios no son técnicamente necesarios, ya que los cookies de sesión para contar a los usuarios no son necesarios, "para que el proveedor de un servicio de medios digitales pueda proporcionar un servicio de medios digitales solicitado expresamente por el usuario." Lo mismo se menciona en la Directiva ePrivacidad, ya que el TTDSG se basa muy estrechamente en el texto de la citada directiva.

Transferencias innecesarias de datos

En Artículo 5, apartado 1 c RGPD se menciona el mandato de minimización de datos. Por lo tanto, la tratamiento de datos debe ser adecuado al propósito y limitarse a lo necesario para los fines del tratamiento. También Artículo 25 RGPD exige una configuración amigable con la protección de datos.

Un ejemplo de transferencias innecesarias de datos son las imágenes incorporadas en una página web que se cargan desde un servidor externo. Por supuesto, también es posible almacenar la imagen en el propio servidor. Al acceder a un servidor diferente se transfieren datos de tráfico incluyendo la dirección IP del usuario hacia un tercero. Dado que la dirección IP se considera como dato personalizado, inicialmente no está permitido tal transferencia de datos. Por lo tanto, es al revés de lo que muchos creen: las transferencias de datos a terceros en sí mismas no están permitidas y solo son posibles en el caso concreto individual.

Transferencias críticas de datos

Considero críticos los transferencias de datos a países terceros inseguros. Un país tercero inseguro es aquel para el cual el RGPD no se aplica y para el cual no existe un decisión de adecuación por parte de la Comisión Europea. También considero que esto se aplica a las decisiones de adecuación que no parecen sólidas. Por ejemplo, ningún decreto de la Comisión Europea cambia el hecho de que, desde la perspectiva del RGPD, los Estados Unidos procesan ilegalmente datos de ciudadanos europeos.

Con proveedores de países terceros poco seguros se pueden establecer cláusulas contractuales estándar (SCC) o reglas corporativas vinculantes (CBR) para resolver el problema, siempre y cuando la legislación nacional respete dichas acuerdos. En Estados Unidos no es así. Mientras existan Cloud Act, FISA y EO 12333, la respuesta a la pregunta de si se permiten transferencias de datos a terceros en los EE.UU. sin consentimiento es siempre: No.

El artículo 44 de la RGPD y los siguientes artículos allí mencionados establecen las exigencias. Un consentimiento para transferir datos con riesgos solo puede basarse en un consentimiento excepcional y no duradero, como revela el artículo 49 de la RGPD. Aproximadamente ninguna página web cumple con esto, ya que solicita un consentimiento para herramientas de proveedores estadounidenses, por ejemplo, el Pixel de Facebook o Google Analytics. ([1]) ([2]) ([3])

Un crítico transferencia de datos tiene lugar, por ejemplo, al acceder a un archivo desde un servidor de un proveedor estadounidense. También aquí es válido que siempre se transmite la dirección del usuario en la red como dato personalizado.

Excursión: soluciones de consentimiento

Parece que muchos no quieren ser informados, o no lo saben. Lo uno y lo otro son igualmente malos: Las herramientas de consentimiento de OneTrust y UserCentrics envían potencialmente datos a los EE.UU., y es así cuando se cargan los scripts para la configuración de la solicitud de consentimiento (consulte los pruebas prácticas enlazadas aquí, que muestran que en la práctica OneTrust y UserCentrics deben ser valorados como contrarios a la RGPD).

Debido a lo anterior, las solicitudes de consentimiento de OneTrust y UserCentrics requerían también una autorización antes de que se mostrara ese molesto y a menudo muy defectuoso llamado "popup de cookies".

Servicios técnicamente necesarios

Un servicio digital también se conoce como Herramienta. Los servicios en este sentido son aproximadamente Matomo, Google Maps, OpenStreetMap o fuente externa. La denominación de servicio está aquí en el sentido más amplio y incluye también imágenes externas. La denominación puede justificarse mediante la palabra inglesa "to serve". Un servidor es por tanto un servidor o un encargado. Cada acceso a un servidor externo significa, en cierto modo, el uso de un servicio. En él se incluye también el simple envío de datos a un servidor, aunque no se espera respuesta del servidor (Ejemplo: enviar datos de seguimiento a Google Analytics a un servidor de Google).

Un servicio digital es cualquier comunicación con un servidor.

Amplia definición del término "servicio" en el contexto del derecho de protección de datos digitales

La página web que se está visitando en este momento también puede considerarse como un servicio. La entrega de una página web solicitada por el navegador es aparentemente necesaria desde el punto de vista técnico si alguien desea ofrecer dicha página web. Para ello, no se requiere consentimiento.

Las solicitudes de archivos arbitrarias desde un propio servidor, que no impliquen la retransmisión de datos a terceros ni ningún procesamiento adicional de datos más allá de lo que ya se permite legítimamente en la prestación de la página web, son no críticas y no requieren consentimiento.

De lo contrario, inicialmente no se requieren otros servicios técnicos. En principio, cualquier página web puede funcionar sin más servicios. Si una página web integra una gestión de citas de otro proveedor, esto podría ser técnicamente necesario debido al propósito de la página web. Sin embargo, entonces se puede esperar que se haya firmado un DPA (Acuerdo de Venta de Servicios) con el proveedor de la gestión de citas y que este último se someta completamente y garantizadamente a la RGPD. Los proveedores de países terceros poco seguros quedan excluidos en este caso, a menos que se obtenga el consentimiento del usuario.

Casi ningún servicio es técnicamente necesario para una página web

Conocimiento obtenido a través de un análisis preciso de la anatomía de una página web

Si es absolutamente necesario tener una gestión de citas, el propietario de la página web debe buscar un proveedor que sea compatible con la protección de datos. Si no se encuentra tal proveedor, el propietario de la página web debe optar por renunciar a la gestión de citas o desarrollar la suya propia. En mi opinión, lo último es algo que se puede exigir. O bien, esta evaluación finalmente no tiene importancia. Si no encuentras un aparcamiento para caminar hasta el supermercado y comprar, no debes estacionar mal. No importa si no puedes ir de compras porque no hay un aparcamiento regular disponible. Solo en una emergencia podría argumentarse en un caso concreto que estacionar mal es tolerable. Sin embargo, este caso específico casi nunca ocurre en sitios web, porque una página web, con toda su oferta pública y accesible, se dirige automáticamente a numerosos potenciales usuarios.

Por cierto, Cookiebot no ofrece DPA por sí mismo, porque el proveedor Cybot dice que no es necesario, ya que Cookiebot no procesaría ninguna información personal. Esto es, naturalmente, mierda y demuestra una gran falta de conocimientos en materia de protección de datos.

En resumen, hay pocos servicios técnicamente necesarios. Dependiendo del tipo de sitio web, puede haber una o varias funciones necesarias que sean importantes, pero deben implementarse de forma compatible con la protección de datos. El argumento de que no hay privacidad total debido a una función supuestamente importante no es válido.

Cookies técnicamente necesarios

La mayoría de las cookies no son absolutamente necesarias. Esto comienza porque las cookies no existen simplemente así, sino que son creadas y utilizadas por servicios. Sin embargo, como se ha descrito, estos servicios no son en la mayoría de los casos técnicamente necesarios. Por lo tanto, la gran mayoría de las cookies tampoco son técnicamente necesarias.

Las cookies son casi siempre no necesarias desde el punto de vista técnico

Hay muy pocas excepciones

Las cookies técnicamente necesarias se pueden contar con menos de una mano. Incluyen:

  • Cookies para la administración de sesiones
  • Cookies VG Wort para la liquidación de la remuneración a los autores
  • Cookies para el almacenamiento de preferencias del usuario, como por ejemplo el idioma
  • Para la seguridad pueden ser necesarios cookies, pero no siempre de manera inmotivada. Ver Tokens CSRF
  • No se me ocurre nada más por ahora

La administración de sesiones incluye las posibilidades de que redactores, administradores y también usuarios de una tienda online puedan iniciar sesión. También incluye la administración de un carrito de compras.

Las cookies de VG Wort son necesarias para poder detectar tanto el fraude como el doble registro de accesos rápidos realizados por la misma persona (de forma relativamente eficaz).

Para una página web multilingüe, un cookie para registrar el idioma elegido también puede ser útil. Esta control de idioma sería posible incluso sin cookies, pero posiblemente sería más complicado y requeriría desde el principio una estructura adecuada para la página web. Por ejemplo, los rutas de URL para los contenidos deberían elegirse de manera que el idioma esté codificado en la ruta. Por otro lado, entonces se necesitaría una versión para cada página para cada idioma ofrecido, para que siempre quede claro en qué espacio lingüístico se encuentra el usuario en ese momento.

También existen otras configuraciones que un usuario puede realizar en una página web, como las decisiones sobre las preferencias de privacidad (consentimiento). Sin embargo, considero que las cookies de exclusión voluntaria (opt-out) que son leídas por terceros no son admisibles. Un servicio de terceros opcional que se carga pero luego no realiza ninguna función carece de sentido y, por lo tanto, no es necesario. No debería cargarse en absoluto si el usuario no lo desea.

Conclusión

Afirmo hasta nuevo aviso que todos los cookies de terceros siempre requieren consentimiento. Un DPA es lo mínimo que se puede esperar. En ese caso, el tercero ya no lo sería, sino que sería un primero. Por favor, escríbeme si ves un caso en el que un cookie de terceros sea técnicamente necesario, es decir, cuando no haya un DPA!

Lo mismo se aplica a los llamados de datos de terceros. A mí no me vienen a la mente, aparte del Pixel de conteo de VG Wort o situaciones similares con regulaciones legales establecidas, un ejemplo en el que sea admisible realizar un llamado de datos sin DPA porque es inevitable. Por favor, mencionenme un ejemplo si lo conocen.

Este artículo pretende fomentar el debate y aún no pretende abarcar todas las situaciones posibles. Sin embargo, creo que estoy al menos cerca de la verdad, si no que ya la he alcanzado.

Puntos clave de este artículo

Las páginas web solo pueden procesar datos si es técnicamente necesario o si el usuario otorga su consentimiento, o si existe otra base legal.

La transferencia de datos a países fuera de la UE está a menudo prohibida si estos países no tienen normas de protección de datos suficientes.

La mayoría de los servicios digitales en sitios web no son técnicamente necesarios y deben implementarse de forma compatible con la protección de datos.

La mayoría de las cookies no son técnicamente necesarias y, por lo tanto, requieren el consentimiento del usuario.

Sobre estas afirmaciones clave
Sobre el autor
Me llamo Klaus Meffert. Soy doctor en informática y llevo más de 30 años dedicándome profesional y prácticamente a las tecnologías de la información. También trabajo como experto en informática y protección de datos. Obtengo mis resultados analizando la tecnología y el Derecho. Esto me parece absolutamente esencial cuando se trata de protección de datos digitales.

Website-Cookies: Was darf ohne Zustimmung verwendet werden?